phpwind 9.0后台执行任意php代码

### 简要描述： 诶呀我这种小透明总算是能够发一个看起来比较高大上的漏洞了(´･ω･`) --这次漏洞的利用需要APT或者社工才能做到(｡・`ω´･)-- 所以请各位使用pw系统的站长要看好自己的权限咯~ _(:з」∠)_ 话说我打这么多颜文字会不会看起来很萌( σ'ω')σ 哈哈哈哈哈就这样吧,高考完了闲得慌来一发漏洞 肉肉肉我爱你~（开玩笑的） ### 详细说明： 漏洞的利用需要“门户设计”权限，也就是在线编辑网站模板所需要的权限。 测试的phpwind版本为 v9.0 20130702 本来直接告诉了开发组结果被说“你不给他权限不就好了嘛”，遂发到乌云来。 由于是0day所以估计涉及了大量版本（？） 正片： 1.首先从官网下载了一个空模板。 [<img src="https://images.seebug.org/upload/201406/1502051133e9c40c23e9d6178049f773ff608f33.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/1502051133e9c40c23e9d6178049f773ff608f33.jpg) 2.在模板中的index.htm中插入一句话代码 [<img src="https://images.seebug.org/upload/201406/1502054621b4c893ccda95967203e8a47ce59fd8.jpg" alt="5X$M127]NUBE[FB2W(KH09S.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/1502054621b4c893ccda95967203e8a47ce59fd8.jpg) 3.重新打包，进入模板编辑模式，导入模板。 [<img src="https://images.seebug.org/upload/201406/1502064811f814117eaceacfd22b466dcb1dfe93.jpg" alt="Q7@HL4JE)E2DNNS6F7AHARW.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/1502064811f814117eaceacfd22b466dcb1dfe93.jpg) 4.导入成功 [<img src="https://images.seebug.org/upload/201406/15020718f50a10b28f624e597d58700f5b447f80.jpg" alt="QRUHU~I2_U]B0578DPZ(GLG.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/15020718f50a10b28f624e597d58700f5b447f80.jpg) 5.用GET方式提交php代码~测试成功~ [<img src="https://images.seebug.org/upload/201406/1502085708fea229e2e24beda462e338ab99305c.jpg" alt="3{4`M994{45IWQPA)T2_[CQ.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/1502085708fea229e2e24beda462e338ab99305c.jpg) 小结：其实漏洞的利用还算简单。比如。。 “只要20块钱定制网站模板包安装咯~只需要门户权限！” ### 漏洞证明： [<img src="https://images.seebug.org/upload/201406/1502085708fea229e2e24beda462e338ab99305c.jpg" alt="3{4`M994{45IWQPA)T2_[CQ.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/1502085708fea229e2e24beda462e338ab99305c.jpg)